گاهی اوقات، فناوری های موجود در بلاک چین ممکن است برای اجرای صحیح پروتکل کافی نباشد. اوراکل ها اطلاعات تکمیلی هستند که نوعی قرارداد هوشمند نیز محسوب می شوند. احتمال حمله و آسیبپذیری اوراکل زمانی افزایش مییابد که آنها به طور خودکار اقداماتی را بدون در نظر گرفتن درست یا نادرست بودن فیدهای ارائه شده انجام دهند. توجه داشته باشید که اگر محتوای اوراکل مخرب یا قدیمی باشد، امکان ایجاد خسارات جبران ناپذیری مانند انحلال غیرقانونی، معاملات آربیتراژ و غیره وجود دارد به همین دلیل در این مقاله تصمیم گرفتیم اطلاعاتی در مورد آن با شما به اشتراک بگذاریم.
اوراکل چیست؟
در ابتدا بهتر است به این سوال پاسخ دهیم که اوراکل چیست؟ در بازار ارزهای دیجیتال، از این سیستم برای اعتبارسنجی و تأیید اطلاعات در یک پروتکل بلاک چین استفاده می شود. در واقع می توان گفت که اوراکل راه حل ها و امکاناتی را در اختیار شبکه قرار می دهد تا بتواند به راحتی به داده ها در دنیای واقعی دسترسی داشته باشد.
این سرویس ها معمولا داده ها و اطلاعات جدید را از یک ارائه دهنده خدمات خارجی مانند سایت های خبری، شبکه های اجتماعی و غیره جمع آوری و برای استفاده اعتبارسنجی می کنند. گاهی ممکن است یک حمله Oracle به این روش انجام شود و شبکه آسیب جدی ببیند. به عنوان مثال، از اطلاعات جعلی استفاده کنید که منجر به ثبت اطلاعات غیر واقعی می شود. برای جلوگیری از چنین مشکلی، تیم توسعه اپلیکیشن باید از روش هایی مانند چندین امضا استفاده کند تا نگران امنیت بلاک چین نباشند.
چه ارزهایی از اوراکل استفاده می کنند؟
جالب است بدانید که بسیاری از ارزهای معروف و محبوب در بازار ارزهای دیجیتال از Oracle برای پیاده سازی صحیح پروتکل ها و دسترسی به اطلاعات در دنیای واقعی استفاده می کنند. برخی از شناخته شده ترین آنها عبارتند از:
- بیت کوین
- اتریوم
- کاردانو
- پولیگان
- سولانا
- بهمن
- Optos
در بین ارزهای فوق الذکر، اتریوم یک بار مورد حمله اوراکل قرار گرفته است.
انواع اوراکل های بلاک چین
اوراکل هایی که می توانند در بلاک چین استفاده شوند عبارتند از:
اوراکل نرم افزاری
این نوع تعامل با منابع آنلاین است و از این طریق اطلاعات را به بلاک چین مورد نظر خود منتقل می کنند. این منابع می توانند پایگاه داده ها، وب سایت ها و سرورهای مختلف باشند. با توجه به امکان دریافت و ارسال اطلاعات به صورت بلادرنگ، از این اوراکل ها در بسیاری از شبکه ها استفاده می شود.
سخت افزار اوراکل
برخی از قراردادها برای ارائه اطلاعات مورد نیاز خود نیاز به برقراری ارتباط با دنیای فیزیکی بیرونی دارند. برای این منظور از سنسورهای الکترونیکی، بارکدخوان و … استفاده می شود. اگر امنیت محیطی که سخت افزار در آن نگهداری می شود حفظ شود، احتمال حمله اوراکل بسیار کاهش می یابد.
ورودی اوراکل
شناخته شده ترین نوع این قراردادها اوراکل ورودی است که اطلاعات را از دنیای واقعی خارج از بلاک چین دریافت کرده و به قراردادهای هوشمند داخل تحویل می دهد.
خروجی اوراکل
برخلاف نوع قبلی، این اوراکل اطلاعات را از داخل بلاک چین به خارج از آن منتقل می کند. از این روش می توان برای اطلاع رسانی به فروشگاه لوازم خارجی استفاده کرد.
صلیب زنجیره Precles
این نوع برای انتقال اطلاعات بین زنجیرههای بلوکی یا دادههای زنجیرهای متقابل استفاده میشود تا بتوان از دادهها خارج از بلاک چین بومی استفاده کرد.
اوراکل متمرکز و غیر متمرکز
Oracle متمرکز توسط یک نهاد خاص مدیریت و کنترل می شود. این موضوع احتمال حمله اوراکل را در آنها افزایش می دهد. مشکل اصلی این گونه قراردادها وجود نقطه شکست است که آسیب پذیری آنها را افزایش داده است.
اوراکل های غیرمتمرکز برعکس قراردادهای قبلی هستند و از منابع متعدد برای ارائه خدمات و اعتبارسنجی داده ها استفاده می کنند. به همین دلیل به آنها اوراکل های اجماع نیز می گویند.
اوراکل خاص قرارداد
این اوراکل ها به طور ویژه برای قراردادهای هوشمند طراحی شده اند. اگر قصد ایجاد یک قرارداد انحصاری را دارید، باید از این اوراکل ها استفاده کنید. البته توجه داشته باشید که ایجاد آنها نیاز به زمان زیادی دارد.
اوراکل انسانی
در این حالت فرد به دلیل داشتن تخصص و مهارت در زمینه ای خاص به عنوان یک اوراکل انسانی عمل می کند. جالب است بدانید که احتمال حمله اوراکل در این روش بسیار کم است. چون جعل هویت بسیار سخت است.
حمله اوراکل چیست؟
هک اوراکل دستکاری یکی از انواع حملات سایبری است که هدف مهاجم دسترسی به داده های موجود در پایگاه داده با شناسایی آسیب های موجود در اوراکل مورد استفاده است. برای انجام این کار، روش های مختلفی مانند حمله به پایگاه داده، شناسایی و استفاده از آسیب های نرم افزاری، استفاده از کدهای بدافزار و رمزگذاری ضعیف وجود دارد.
اگر قصد دارید پروتکل بلاک چین را در برابر حمله اوراکل ایمن کنید، بهتر است همیشه از آخرین نسخه نرم افزار منتشر شده توسط سازنده استفاده کنید و آن را به طور دائم به روز کنید. اقدامات دیگری که باید انجام دهید تنظیمات امنیتی صحیح، محدود کردن دسترسی به پایگاه داده با صدور مجوزهای خاص و رمزگذاری قوی اطلاعات و داده ها است.
بررسی نحوه بازتولید قرارداد حمله
اگر قصد دارید یک قرارداد حمله را بازتولید کنید، بهترین راه استفاده از مجموعه داده آزمایشی است. داده هایی که استفاده می کنید می تواند مجازی یا واقعی باشد. اما باید برای آزمایش اوراکل ها طراحی شود. برای این کار، می توانید از مجموعه هایی مانند SLOB، Hammer DB، Swingbench استفاده کنید و شروع به بازسازی قرارداد حمله کنید.
پس از آن برای استفاده از پایگاه داده و نرم افزار مورد نظر خود به یک محیط تست نیاز دارید و تست امنیتی را با ابزارهای مختلفی مانند Oracle Database Security Assessment Tool و PL/SQ شروع کرده و تمامی مراحل هک Oracle Manipulation را بازسازی کنید.
توصیه می کنیم اگر قصد انجام چنین کاری را دارید حتما از افراد متخصص در زمینه امنیت کمک بگیرید. زیرا انجام چنین تست های پیچیده ای نیاز به تخصص و مهارت دارد.
بررسی میزان آسیب ناشی از حمله اوراکل
میزان آسیب وارد شده به یک شبکه ارتباط مستقیمی با نوع حمله اوراکل دارد. گاهی اوقات این حملات مستقیماً سیستم ها و پایگاه های داده را هدف قرار می دهند. در این حالت مهاجم قصد رمزگذاری، ردیابی، دستکاری داده ها، انتقال داده ها و … را دارد پس می توان گفت که هدف حمله و نوع آن تاثیر مستقیم بر هزینه دارد. اگر حمله انجام شده نرم افزاری باشد و مهاجم و نرم افزار بر روی چندین هزار سیستم به منظور شناسایی حفره های امنیتی اجرا شوند، هزینه آن ناچیز است. اما اگر فرد یک فرد حرفه ای و با تجربه باشد، هزینه می تواند به میزان قابل توجهی افزایش یابد. به طور کلی می توان گفت که هر چه اطلاعات دزدیده شده اهمیت بیشتری داشته باشد و شرکت هدف حمله بزرگتر باشد، میزان خسارت نیز بیشتر می شود.
هک دستکاری اوراکل در سیستم دیفای
DeFi یک پروتکل منبع باز است که عمر آن به جامعه ای که از آن استفاده می کند بستگی دارد. امنیت این پروتکل ها بسیار بالاست. اما مواردی نیز وجود داشته است که فایروال ها توسط اوراکل مورد حمله قرار گرفته اند. از مهمترین آنها می توان به موارد زیر اشاره کرد:
این حمله در سال 2016 روی شبکه اتریوم انجام شد، جایی که مهاجم موفق شد با دستکاری قراردادی به نام THE DAO، 3.6 میلیون واحد اتر را به سرقت ببرد. البته پس از انجام هارد فورک در شبکه و رفع مشکلات امنیتی، تمامی اترها به صاحبان اصلی بازگردانده شد.
نمونه دیگری از این نوع حمله، اتفاقی است که برای Uniswap افتاد. به دلیل وجود یک باگ امنیتی در این پروتکل، هکرها توانستند به طور غیرقانونی 500 هزار دلار را برداشت کنند. البته تیم امنیتی Uniswap به سرعت این مشکل را برطرف کرد تا از تکرار چنین اتفاقاتی جلوگیری شود. چه اطلاعات دیگری در این مورد دارید؟
حمله دستکاری اوراکل چیست؟ بررسی هک Oracle Manipulation اولین بار در وبلاگ خبرجو ظاهر شد. ظاهر شد.
این خبر در تاریخ2023-04-23 11:00:22 توسط خبرجو منتشر شده است.
گفتگو در مورد این post